目录
前篇提到了 AI 数位转型将使资安挑战日益严峻,企业需要一套完整的资安管理系统以应对不断变化的资安威胁。因此,ISO 27001 认证成为了企业追求资安卓越的重要指标。在本文中,我们将介绍 ISO 27001 认证,它如何帮助企业有效降低资安风险,最后也替你整理台湾上市柜企业取证现况,帮助你暸解企业资安防护品质。
C. I. A. 与 PDCA
国际资安证书:ISO 27001
ISO 27001 真的有用吗?
台湾企业 ISO 27001 认证现况
资料是一家企业极其重要的资产,随著资料陆续上云,究竟如何保障这些资讯安全呢?在资讯安全准则中,解释了资讯安全三项要素 C. I. A:
资讯不得被未经授权之个人、实体或程序所取得或揭露的性质。
对资讯之精确与完整安全保证的性质。
已授权实体在需要时可存取与使用资讯之性质。
满足资安核心三要素即是企业达成资讯安全的核心目标,但投资者如何得知企业是否确实达成呢?这时就需要公正的第三方标准来检验,目前国际上最流行的资安标准为 ISO 27001,开始介绍前,先让我们了解其架构:PDCA 循环法则。
计划 ( Plan ):制定目标以管理资安风险,并制定相关政策和控制措施改进资安系统。
执行 ( Do ):执行规划好的政策与控制措施。
查核 ( Check ):检视实际执行与目标的差异。
行动 ( Act ):针对查核到的差异做出改变行动,进一步改善。
企业能利用此循环不断的审查与优化资安管理系统,将资讯安全风险降至可接受的范围,保护资讯的 C. I. A. 要素。
ISO 27001是一种资讯安全管理系统标准,旨在协助企业识别、管理和减少其所面临的各种资讯风险。标准最初是由国际标准化组织(ISO)和国际电工委员会(IEC)于 2005 年共同发布的,并于 2013 年和 2022 年进行更新,内容主要涵盖了企业要实施国际认可的资讯安全体系所需的标准和规范。
通过且获得ISO 27001认证,企业即可证明其机房设备已通过严格的国际检验。重点是,认证后企业每年都需进行复评。因此,ISO 27001 是投资人、国际企业和政府等对于资讯安全保护等级的重要参考指标之一,拥有极高的公信力。
上述提及的标准及规范两部分即是主条款与附录 A,主条款(标准)强调应决定可接受的资安风险并以此建立完整的管理周期,附录 A(规范) 则是提供 93项控制措施,对组织、技术、实体与人员四面向进行详细的风险控制规范。
其中,ISO 27001 只是「一套概念」,主要说明了公司在导入这套标准时应该要管制的范围,并没有说明其应该如何实施,而 ISO 27002 则是「一套指南」,说明了附录 A 控制项具体应该如何实践,注意这些条文并不是强制性,公司可依自身需求决定是否采用。
但取得 ISO 27001 就代表能有效防范资安风险吗?在揭晓之前,我们先带你了解取得认证的 4 点好处:
回到实际情况,过去三年发生的资安事件中,有 50% 的企业未取得 ISO 27001 认证,虽比例上无显著关系,但如果观察这些资安事件,未取证的企业在后续多承受较大的营运损失,包含前篇文章提及的雄狮与华航,因此,ISO 27001 确实能降低危机爆发的损害。
TEJ 整理了台湾上市柜企业 2023 年的 ISO 27001 取证情形,如下图所示,金融业是最积极取得 ISO 27001 认证的产业,共取得 27 张,取证率达 79%;另外,台湾引以为傲的半导体与电子代工产业,总取证张数并不低,但以取证率来说仍为不足,半导体与电子零组件产业分别仅有 9% 和 7%。
过去十年随著金融科技发展,骇客攻击事件与资安问题日益严重,但在主管机关与各企业的努力下,金融业不仅以近 8 成的取证率领先其他产业,也制定了「金融资安行动方案」进一步地强化其资安治理。同样的挑战现在来到了制造业,根据 Dragos 2022 工控报告,制造业在去年共遭受 437 次勒索软体攻击,在工业物联网成形、工厂自动化的浪潮下,台湾制造业能否做好资安防护呢?
即便无法预测危机,我们仍可透过追踪 ISO 27001 取证情况来判断企业是否为资安危机做好准备!
—
台湾财经资料库 (TEJ TAIWAN DB ) → TESG 永续发展解决方案 → TESG 永续资料集 → 社会构面 → 社会类_ ISO认证透过 TESG 永续资料集,第一时间关注企业 ISO 取证情形,有效把关并监控企业是否确实做好资安防护。
如果各位读者对于本文、TEJ 资料库有任何问题,或是想进一步获取关于 TEJ 资料库的操作权限,欢迎留言、来电或来信询问。